Drukowanie to jedna z najbardziej rutynowych czynności w niemal każdym biznesie. Nawet w dobie postępującego przenoszenia wszelkich obszarów ludzkiej działalności w cyberprzestrzeń, posiadanie oraz tworzenie dokumentów w formie papierowej jest nieodłącznym elementem pracy w firmie. W sierpniu – wszystkim tym, dla których drukowanie to część obowiązków, albo po prostu czynność niezbędna do pracy – na drodze stanęła aktualizacja systemu Windows KB5005652.
Spis treści
Źródło problemu
Firma Microsoft wprowadziła zmiany w sposobie obsługi drukarek, ze względu na zidentyfikowaną lukę w zabezpieczeniach tych urządzeń. Exploit został nazwany „PrintNightmare” i dotyczył opcji – Point And Print (Wskaż i Drukuj). Wiązał się on z ryzykiem nieautoryzowanego dostępu do systemu. Aktualizacja KB5005652, mająca na celu rozwiązanie tej luki, okazała się źródłem innego problemu, związanego z uprawnieniami do drukowania. A ściślej – ich brakiem.
Co to oznacza? Zgodnie z aktualizacją, użytkownicy, którzy nie mają podniesionych uprawnień, nie mogą wykonywać czynności, do których wcześniej mieli dostęp. Prawa administratora są teraz niezbędne do:
- Instalacji nowych drukarek za pomocą sterowników na zdalnym komputerze lub serwerze
- Aktualizacji drukarek za pomocą sterowników na zdalnym komputerze lub serwerze
W praktyce oznacza to, że zwykły użytkownik z dnia na dzień stracił możliwość drukowania i korzystania z opcji Point and Print (Wskaż i Drukuj). Pracownicy korzystający z drukarek monitowani są o ponowną instalację niezbędnych sterowników – czego nie mogą zrobić bez uprawnień administratora.
W poprzednich artykułach szeroko poruszaliśmy temat świadomego ograniczania dostępu administratora pracownikom w obszarze infrastruktury IT firmy oraz o zasadzie PoLP (Principle of Least Privilege). Z punktu widzenia cyberbezpieczeństwa, oczywiście jest to najlepsza praktyka stosowana w wielu organizacjach. Jak więc pogodzić tę kwestię, z ograniczeniami narzuconymi przez aktualizację KB5005652? Jak odzyskać możliwość drukowania oraz opcję Point and Print (Wskaż i Drukuj), przy zachowaniu zasady PoLP?
Jakie kroki możesz podjąć?
Opcja 1 – nie rób nic
W zależności od tego, czy aktualizacja KB5005652 została wdrożona na w Twoim urządzeniu, czy nie – takie działanie może przynieść różne skutki.
Komputery z systemem Windows, na których nie miała miejsca aktualizacja, będą działały standardowo i nie wystąpi ograniczenie zarządzania drukarkami. Po dodaniu czy aktualizacji sterowników, pojawi się jednak ryzyko związane z exploitem “PrintNightmare”, który był wykluczony dzięki KB5005652.
Urządzenia, na których aktualizacja KB5005652 nie spowodowała usunięcia uprzednio zainstalowanych sterowników, początkowo będą działały bezproblemowo. Po aktualizacji sterowników jednak, użytkownik chcący skorzystać z drukarki, spotka się z zabezpieczeniem UAC – mechanizmem kontroli użytkownika. Zabezpieczenie to sprawia, że do dalszych działań potrzebne są poświadczenia administratora. Sprowadza się to do jednego rozwiązania – podwyższone uprawnienia będzie musiał mieć każdy użytkownik systemu. Jest to oczywiście niezgodne z zasadą PoLP i często prowadzi do niekontrolowanej eskalacji uprawnień.
Podobna sytuacja wystąpi na urządzeniach, na których niezbędne będzie zainstalowanie nowej drukarki po aktualizacji. W tym wypadku, nieuniknionym krokiem, również będzie potwierdzenie poświadczeń administratora, w ramach zabezpieczenia UAC.
Opcja 2 – cofnij domyślne ustawienia
Firma Microsoft zazwyczaj zapewnia możliwość cofnięcia zmiany domyślnych zmian – aktualizacja KB5005652 nie jest wyjątkiem. Masz możliwość skorzystania z tej opcji, poprzez edycję klucza rejestru:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint
a następnie ustawienie wartości RestrictDriverInstallationToAdministrators na wartość 0.
Należy wiedzieć, że krok ten, pozostawia niezabezpieczoną lukę i naraża tym samym całą infrastrukturę IT Twojej organizacji na exploit „PrintNightmare” oraz potencjalny atak spowodowany tą furtką do systemu.
Opcja 3 – przypisz poprzez GPO uprawnienia drukowania do komputerów, a nie do użytkowników
Przypisanie drukarek do komputerów, a nie do użytkowników odbywa się bez interwencji użytkownika i działa na poziomie systemu operacyjnego. Dzięki temu można uniknąć potrzeby nadawania użytkownikom uprawnień administracyjnych, aby mogli dodać drukarki/rozwiązać problem z aktualizacją sterowników.
Problem z tym podejściem jest taki, że czasami możesz mieć potrzebę, aby uprawnienia do drukarek “podążały” za użytkownikiem, w zależności od tego, gdzie się znajduje. Rozwiązanie to nie będzie działało w miejscach, gdzie stanowiska pracy są współdzielone.
Istnieje również ryzyko większego uzależnienia i trudniejszego zarządzania obiektami GPO, a odświeżanie sprzętu może okazać się uciążliwe.
Jak może pomóc Admin By Request?
Powyższe trzy opcje niejako rozwiązują problem związany z aktualizacją KB5005652 i ograniczonymi możliwościami korzystania z drukarek. Są to jednak dość ryzykowne i czasochłonne sposoby, które niewątpliwie będą wymagały dużego nakładu pracy.
Dzięki Admin By Request masz możliwość skorzystania z trzech dodatkowych opcji. Wszystkie z nich są szybkie we wdrożeniu i proste w użyciu!
Opcja 4 – użyj Admin By Request, aby uzyskać bezhasłowy system zarządzania drukarkami
Admin By Request to rozwiązanie, które umożliwia użytkownikom przyznanie uprzywilejowanego dostępu, w czasie rzeczywistym – natychmiastowo. Wystarczy, że użytkownik, który chce skorzystać z drukarki, wystosuje odpowiednią prośbę o jednorazowy dostęp administratora. Wniosek kierowany jest do zespołu IT i w zależności od sytuacji może on zostać zatwierdzony lub odrzucony. Po autoryzacji, pracownik z łatwością może przejść do konfiguracji drukarki, a cała jego aktywność w czasie sesji uprzywilejowanego dostępu zostanie w pełni zarejestrowana.
Opcja 5 – zezwól na „Automatyczne zatwierdzanie”
Istnieje możliwość dodania aplikacji i wszelkich niezbędnych sterowników do tzw. “białej listy”. Dostęp do konfiguracji drukarek będzie wówczas ogólnodostępny, a prośby o uprawnienia uprzywilejowane będą automatycznie zatwierdzane.
Ponieważ w Admin By Request wszystkie operacje podczas sesji administratora są rejestrowane w ramach audytu – ryzyko związane z przyznaniem podwyższonych uprawnień każdemu nieuprzywilejowanemu użytkownikowi jest w pełni kontrolowane. Sposób ten, pozwoli na pomyślne przejście kontroli konta użytkownika (mechanizm UAC), jednocześnie nie wymagając od użytkownika podawania poświadczeń administracyjnych. Umożliwi to każdemu pracownikowi w Twojej firmie korzystanie z drukarek oraz możliwość ich ewentualnej konfiguracji. Aktywność użytkowników, dzięki Admin By Request, jest oczywiście raportowana, co pozwala na uniknięcie potencjalnie niebezpiecznych dla systemu działań.
Opcja 6 – skonfiguruj „Czarną listę” w Admin By Request
Admin By Request może zostać użyty jako dodatkowa warstwa ochrony. Opcja ta, pozwala na natychmiastowe zablokowanie użytkownikom zwykłym i uprzywilejowanym możliwości instalacji i konfiguracji drukarek, poprzez zdefiniowanie tzw. “czarnej listy” wybranych aplikacji. W skrócie – rozwiązanie to, uniemożliwi użytkownikom dodawanie czy aktualizowanie własnych sterowników i drukarek. Dlaczego może być to jedno ze słusznych i uzasadnionych działań? Jest prewencją przed nieświadomym dodaniem do systemu złośliwie zmodyfikowanej drukarki czy sterownika.
Jednocześnie – Admin By Request umożliwia bezpieczną i kontrolowaną eskalację uprawnień niezbędnych do skonfigurowania zaufanej drukarki. W szczególnej sytuacji może zostać wygenerowany unikatowy kod PIN, który pozwoli na przyznanie jednorazowego dostępu administratora, niezbędnego do skonfigurowania odpowiednich uprawnień i sterowników, aby móc korzystać z firmowej drukarki.
Admin By Request – wszystko czego potrzebujesz
W zależności od potrzeb Twojej firmy, możesz skorzystać z szeregu opcji bezpiecznej elewacji uprawnień, oferowanych przez Admin By Request. Wszystkie rozwiązania są szybkie i łatwe we wdrożeniu, a także bezproblemowe w zarządzaniu. Dodatkowo – narzędzie pozwala na darmowe zabezpieczenie do 25 urządzeń w Twojej firmowej sieci.
Jeśli dotknęło Cię ograniczenie związane z aktualizacją KB5005652 i pracownicy w Twojej firmie stracili możliwość drukowania i konfiguracji drukarek, skontaktuj się z nami, aby dowiedzieć się więcej. Możesz uzyskać od naszego zespołu cenne wskazówki, które pozwolą na rozwiązanie omawianego problemu.
- Po co odwoływać lokalne uprawnienia pracownikom?
- Jak przygotować się do wdrożenia zarządzania dostępem?
- W jaki sposób odebrać uprawnienia administracyjne na komputerach?
